O.P.
大家好,
周末登录 ANZ 网上银行时,我第一次被迫更改密码......
它也为其他家庭成员 CRN 执行了此操作,但没有为另一个家庭执行此操作CRN 成员,我们两个必须这样做的人,我们能想到的唯一共同点是我们都非常投入时间并且是网上银行的早期采用者。
有人知道最近的安全漏洞吗? ANZ 会强迫选定的客户更改密码?
评论
ANZ 不会被黑客攻击(如果四大银行之一,你就会知道这一点)被黑客攻击了)
您可能点击了一个电子邮件链接,将您带到了一个虚假网站?如果您只是点击了正常的 ANZ.COM.AU 链接,那么应该没问题。
您的旧密码可能不再符合 ANZ 安全要求(即现在您可能需要 1 个大写字母、小写字母、符号和数字)至少 8 个字符等)ANZ 可能已将您的旧密码标记为太弱。
如果您担心,请立即访问 ANZ 网站(在浏览器中输入地址)并更新您的密码再次。这只是确保没有任何内容被欺骗等。
评论
这篇文章已编辑
强制重置密码并不是黑客攻击或帐户泄露的迹象。
他们很可能运行了一个脚本并确定您的密码很弱并且不符合当前的密码策略,因为它们似乎不会过期,因此您必须更新它。尽管他们可能有非官方的密码策略(例如 >1 或 2 年)并认为您的密码已过时。
评论
O.P.
我从不点击链接,(他说他在任何银行的电子邮件中都会调整他的锡箔帽(哈哈)。我还应该指出,我总是直接输入 URL(是的,我是肛门…我就是那种类型…哈哈)我检查了 https 证书,它们仍然是由 DigiCert 颁发的。
至于弱密码,这实际上就是我不想更改它的原因,因为该密码是一个非常强的随机密码,符合ANZ当前的弱密码政策,例如他们不允许任何特殊字符,最大长度为16,(使得我想知道他们是否费心去哈希密码……他们不应该知道现有密码是否弱……适当的安全性意味着他们只能在客户端脚本创建期间检查它)
我猜我担心的是密码确实已经存在超过 2 年了,为什么他们突然强制更改密码让我很好奇,特别是在 3 个 CRN 中只有两个被强制更改,因为它们具有相同的随机性水平。
评论
Sam00001 写道...
有谁知道 ANZ 最近发生的安全漏洞
你在开玩笑吧?如果发生这种情况,那将是头版新闻。
即使班克斯试图保守这样的事情秘密,如果有人知道,他们也会告诉所有人,因此丑闻和头版新闻再次出现。
>
评论
Sam00001 写道...
我从不点击链接(他在调整锡箔帽时说道,哈哈)任何银行的电子邮件
只是有折扣的可能性。
为什么他们突然强制进行更改,这让我很好奇
委员会?系统?保险公司?
我检查了https证书,它们仍然是由DigiCert颁发的。
也许激活ANZ Shield?所有银行业务都应该需要身份验证流程来转账。拥有密码应该毫无意义。
评论
O.P.
我同意 ANZ Shield 是必须的,自从它可用以来就一直在使用它,我现在的结论是它还不确定,因为为什么三分之二的 CRN 被迫更改密码,
评论
我也被要求更改密码。我想这可能是因为我已经很久没有这样做了!
评论
Sam00001 写道...
使得我想知道他们是否费心对密码进行哈希处理……无论如何,他们不应该知道现有密码是否弱……适当的安全性意味着他们只能在客户端脚本创建期间检查它
如果他们更改了强度规则在某些时候,他们可以知道您的密码是基于旧的还是新的规则(基于日期或创建时设置的某些标志),如果它是旧的,那么这可能足以触发重置。
我担心的是,密码确实已经有 2 年多了,为什么他们突然强制更改,这让我很好奇,特别是在 3 个 CRN 中,只有两个被迫更改鉴于它们具有相同水平的随机性。
这可能是外部因素,例如那些 CRN 接收到登录尝试失败的异常模式。
Zed Surreal 写道.. .
你在开玩笑吧?如果发生这种情况,那将是头版新闻。
更不用说强制报告要求了。
评论
YetAnotherAcc 写道...
如果他们在某个时候更改了强度规则
考虑到我昨天登录时,我得到了需求,那么我建议,如果已经进行了这样的更改,那么它是最近进行的(从周五开始,因为那是我上次登录的时间)。
评论
< p>我被提示更改我的。自几十年前创建帐户以来,这是第一次。
评论
有人没有尝试进入您的帐户,他们是否是每隔几个小时输入错误密码 50 次,或者
评论
Hot Monster 写道...
有人没有尝试进入您的帐户,他们是通过每隔几个小时输入错误密码 50 次之类的?
我希望这会导致锁定而不是密码重置提示。
我也被提示输入更改密码。我上次更改密码是在两年多前。
评论
Sam00001 写道...
(让我不知道他们是否费心去哈希密码……他们不应该知道现有密码是否弱……适当的安全性意味着他们只能在客户端脚本创建期间检查它)
鉴于您的密码已经过时并且没有不符合当前的密码策略,那么它也有可能不符合当前静态密码存储策略。
因此,新的/较新的密码在静态时可能会被加盐、散列和拉伸,但您的密码不会,除非你更改它。
在我看来,他们使用过时/较旧的密码,而不是强制每 3、6 或 12 个月更改一次全面密码,这似乎很务实。
评论
您是否使用过旧号码登录?我记得他们在某些时候改变了这一点。
评论
水果沙拉写道......
如此新/更新密码在静态时可能会被加盐、散列和拉伸,但在您更改密码之前,您的密码不会这样。
他们可以在登录时更新存储的密码,而无需强制用户更改密码。
p>
评论
这篇文章已编辑
hmof 写道...
他们可以在登录时更新存储的密码,而无需强制用户更改不过。
取决于它的存储方式。让用户自行更新更加干净、简单。
评论
startide 写道...
您是否使用真的是旧号码登录吗?我记得他们在某个时候改变了这一点。
我假设你指的是 CRN,如果是这样,那么他们可能会提到这也发生了变化,而不仅仅是密码。
水果沙拉写道...
取决于它的存储方式。
并非如此。假设散列/加盐/等。发生在服务器端,然后一旦使用旧的散列密码进行有效登录,就可以生成新的散列来替换旧的散列。
让用户自己更新它更加干净和简单。
但这会给客户带来很大的烦恼,这绝对是他们会/应该尝试避免的事情。
评论
YetAnotherAcc 写道.. .
但这会给客户带来很大的烦恼,这绝对是他们会/应该尝试避免的事情。
他们似乎是按计划或临时进行的对于密码大于 > 密码上次设置日期?而不是强迫每个用户同时更改密码。
评论
O.P.
我应该在原来的帖子中说得更清楚;旧密码也满足当前的密码要求(我个人认为 ANZ 应该加强他们的游戏......我来宾的另一个线程的讨论)并且至于 CRN,他们没有更改。
鉴于其他用户很久以前设置的密码也发生过这种情况,我们所能做的就是在这个时间点推测,考虑到受影响的 2 个 CRN 已经存在很长时间了,我将依靠水果沙拉的陈旧数据库理论。也许这就是 ANZ 的清理方式,并确保每个人都及时使用最新的哈希算法和后端服务器的安全性。
感谢各位听我说完,当我看到暗模式在不经意间发生变化时警告或通知(特别是银行和其他必须安全的服务)它触发了我的锡箔帽子,因为银行本身没有提及。
并且仅在固定的时间内强制更改密码鼓励人们变得懒惰,例如,这就是 2FA(不是基于短信的)派上用场的地方
澳洲中文论坛热点
- 新西兰总理:出世在新西兰的新纳粹Thomas Sewell是“挺蹩脚的人”,但那是澳洲的问题
- 新西兰总理拉克森称新纳粹Thomas Sewell是坏人,但是没对要求把他从澳大利亚遣返到诞生国去的呼吁置评。
- 撞穿学校栅栏害死十一岁男孩的司机不必坐牢
- 一位女司机撞穿学校栅栏、害死了11岁男孩,被罚2000元罚金、撤消驾照,不必坐牢。Jack Davey 的父母去了